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iQué es la PE? 


La planeación estratégica es un proceso integral para determínar 
en qué debe convertirse una empresa y así como para 
determinar cuál es la mejor manera para lograr ese objetívo, 

Evalúa todo el potencial de una empresa de manera explícìta, y 
vincula los objetìvos del negocìo con las accionesy recursos 

requerídos para alcanzarlos. 
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iCómo funciona la PE? 


1 Describe lci misìón r visión y los valores fundamentales 

?, Apunta a rnercadûs potencialéâ explorandû oportunidades y amenazas 

3, Comprende las prioridades actuales y futuras de segmentos específícos 

4, Analiza las fortalezas y debilidades en relación a los competídores 

5- Define las expectativas de la partes ínteresadas y establece objetìvos 
claros y convincentes para el negocio 
f>, Prepara programas, políticas y planes para ímplementar la estrategìa 
7, Monìtorea el desempeno de la estrategia 


Entre otros componentes 



Top 10 Management Tools 


2006 2010 2012 2014 2017 


1. Strategic Planning 

1. Benchmarking 

1. Strategic Planning 

1. CRM 

1. Strategic Planning 

2. CRM 

2. Strategic Planning 

2. CRM 

2. Benchmarking 

2. CRM 

3. Customer Segmentation 

3. Mission and Vision Statements 

3. Employee Engagement Surveys 

3. Employee Engagement Surveys 

3. Benchmarking 

4. Benchmarking 

4. CRM 

4. Benchmarking 

4. Strategic Planning 

4. Advanced Analytics 

5. Mission and Vision Statements 

5. Outsourcing 

5. Balanced Scorecard 

5. Outsourcing 

5. Supply Chain Management 

6. Core Competencies 

6. Balanced Scorecard 

6. Core Competencies 

6. Balanced Scorecard 

6. Customer Satisfaction 

7. Outsourcing 

7. Change Management 

7. Outsourcing 

7. Mission and Vision Statements 

7. Change Management 

8. Business Process Reengineering 

8. Core Competencies 

8. Change Management 

8. Supply Chain Management 

8.TQM 

9. Scenario and Contingency Planning 

9. Strategic Alliances 

9. Supply Chain Management 

9. Change Management 

9. Digital Transformation 

10. Knowledge Management 

10. Customer Segmentation 

10. Mission and Vision Statements 

10. Customer Segmentation 

10. Mission and Vision Statements 


3AIN & COMPANY 0 


How to use: Rollover cells to see tool ranldng trends. Click cells to see usage vs satisfaction. 
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>EI foco en la ciberseguridad está en su punto más alto 
vOncremento en el número de brechas 
v^Visibilidad a nivel de consejoy CEO 

>Los equipos de Seguridad en la Informacíón: 

^Tienen más presupuesto (y opciones) 
v^Mayor responsabìlìdad y escrutinio 

>Seguridad ya no es una preocupación de Tl 

v^Es parte vital para el crecimiento del negocio 

v^’Los llíderes de seguridad en las empresas tienen que aprender como 
navegar en este nuevo mundo 
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Retos y áreas de oportunidad 


1. El enfoque mayormentetécnico 

2. Una desconexión con las estrategia corporativa 

3. Un escaso análisis del entorno de la organîzación 

4. Una omisión en las necesídades de las partes ìnteresadas 

5. No contemplar los resultados para el negocio 

6. Y esto cuando se realiza PEdC y la operación da un respíro... 




Proceso de la PEdC 
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cPorqué entender el negociol 


^-Muchos profesionales de seguridad no tienen un 
entendìmiento de los objetivos del negocio 

< + Desconexión entre segurîdad y los líderes del negocio 

♦Mnhabilidad para ìdentificar que proyectos de seguridad 
son importantes para el negocio. 
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iCómo lograrlo? 


^ Jr 

Averiguar por qué existe la empresa y qué está izJ>VISIon y mision 
intentando lograr 

partes 

Entender necesidades de los líderes del negocio ÌnteresadaS 

(stakeholders) 



Necesidades de las partes Interesadas 
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Govemance Objective: Value Creation 


r 'i 

Benefits 

| Risk 

1 Resource 

Realisation 

L > 

1 Optimisation 

1 Optimisalion 


\ J 


bourte: liAUV, COBIT 5, /012 
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1. Identificando (SIPOC) 


(S) Suppliers 

(1) lnputs 

(P) Process 

(Oj Outputs 

(C) Customers 

Business owner 
Legat Secjrity. 
Regulations 

Requerimeiits 

Define 

reqoirements 

Use case Project 
plans 

Business owner 

Technical teams 

PrDiect managers Finance, 
Comms 

Buaine.ss 

Operations feam 

Approved use 

cases 

Approved project 
plans 

Design 

Technical 

aichitecttjre 
Technical reqs 

Engineering team 
Security team 
Cperations team 

Business ownar 
Legal, Security, 
Vendors, 
Technieal 

SLAs, Bjcget, 
Harduuare & 
softYvare reqs 

Proaire 

Evecuted cortacts 

Business ovrner 

Legaland Vendor 

Vendors, 

Archifects, 

Ingineere 

Techmcal reqs 
System 
corfiguration 

Build &. Deploy 

Migration plan 
running system 

Business ovmer 
Technical teams 

Vendor, Leadersip Help Desk 

Teclmícol teams. 
Vendors 

SLAs 

Business uptime 
reqs 

Manage the 
solution 

Maintenance plan 

Business û v.'ner Leadership 
(CEO, CFO, CIO r CISO) 
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2. Mapeando 


Stakeholder 

Power 

Interest 

Stakeholder 

Name 

Views/lnterest in 
project 

CIO 

Veto 

Hlgh 


Innovation,, risk, productivity 

CFO 

Veto 

High 


Cost, risk 

CISO 

Vote 

High 


Security, rislíj compl ance 

HR 

Vote 

Medium 


Impacton employee polices 

Legal 

Vote 

Medium 


Impact of laws r terms and 
conditions of contracts, 
eDiscovery 

End Users 

Voite 

Hîgh 


Usâbility, Productivity 

Ops Team 

Voice 

Low/Medlum 


Project delivery time and 
budget 
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3. Priorizando 


High 



Low 


t 


Keep 

Satisfìed 


HR 

Legal 


Ops team 


Manage 

Closely 


CISO 



End users 


Monítor Keep 

(minirnum I Informed 

effort) I 


Low 


Interest 


High 
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Tendencias del entorno 


@ 0 Comprender las preocupaciones de 
alto nivel de los principales líderes 


0 0 Aprender cómo funciona la estrategia 
de negocios 
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PEST 


PoliMcal 

■ Regulotíons ar.d restncJiions related to 
irterrafional trade. tax policy ond competition 

■ VVor, terron'sm fe.g. 9/11 terrorist attactc) r 
outbrealcpf dise ases (e.g. Ebolai - resu 1 iri 
gpvernment intervention- iikely to occur to 
p r otect passengen. interestond op-eratìon safety 

■ Air ine iîidustry cansolidation (mergers and 
acquisitions) 

Econoinîc 

* Cyde's peaks and troughs 

* ÊCondmic indicators 

v' u .S. econo my is espon di ng thrûug h 
global production 

V U .S. generati ng '2C0k joos p er mo nth 
y Reol personol income is rising 
v' H ou se^ol d net worth is growi ng 

■ Fl uctu a tion i n oi 1 prices-orofita bili 1y 

■ Consumerconfidence 

Sccíal 

' Increased demand for air travel 

* Younger generation t'avels more (MillênniQl 
gene r ation expecled to Qrovv 50% oy 2020 and 
remain strong Tor the nexl 15 oros! 

* 1 ric reased n eed for c on ven ier t trove 1 optio ns 
[upgrùdes. VVi-Fi, i ,_ -fHg"t enîertarment. 
refun-dable tickets, book through or-line trovel 
age^des, mobïle and travel aops 

Technological 

■ Technology-odopt the atest to survive intense 
competitíon 

■ Ad vo nce d a 'rcraft tech n olog y res jlts in lower 
fuel conEumplion 30% of total ûperùtihg 
expense) and address climote change (air 
trove! is rftîponsible for 12% of ihe tota 
err.issions from the t'ansportatio r . industry! 

■ IT solutions and mobile fechnoiogy- 
conneclivity ond e r hanced passenger 
experience 
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Poder de 
negociación de 
los proveedores 


5 fuerzas de Porter 


r 

Amenaza de 



nuevos 



competidores 

J 



í 


RÌValidad entrc 
los competidorcs 
oxistontes 


1 



Amcnaza dc 
productos y 
serviciûs sustitutiuos 


Poder de 
negodación de 
los Clientes 
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VISION 


MISION 


{ v^Representa el "por qué" de la organización 
^EI noble propósìto 

v^EI objetivo aparentemente ìnalcanzable 

{ v^Representa "qué" hace la organización hoy día 
v^Describe qué somos y qué hacemos 
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Creando la Misión 


0 0 Proteger a la empresa (evitar fallas 
0 0 Habilitar el negocio (asegurar el éxito) 


"Avcmzar en la misión de la Companía asegurando, 
defendiendo y monitoreando nuestros activos más 

importantes " 
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iCómo creamos valor para las partes interesadas? 

iCómo innovamos? 

iPor qué nos necesitan? 

>iCuál es el problema que necesita ser 
resuelto? 

>La aspiración que debe cumplirse 


Visión de Seguridad 
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Marco de referencia 


>Construir programas de seguridad 
>La gestión del riesgo 
>Comunicar a las partes interesadas 
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Visión de Seguridad 



Establecer 
confiaaza y 
resiliencia 


Confidencialidad 


Disponibilidad 


Integndad 


Seguridad 

Cumplimiento de Checic-box a basado en riesgo v 
De proteger mfraestructura a resultados de negocío 
De guardián a facilitador 

De centrado en la tecnclogia a centrado en la gente 
De coniroi de información a flujo de información 
De prevenir a detectar y responder 


Predecîr 


Prevenir 


Analítica y 
Monitoreo 
Continuo 


Adaptativo 


Contextualizado 


Responder 


Detectar 


Managing Risk and 
Security at the 
Speed of Digital 
Business 


Marxjflinfl tfi5* anii Secivíly cn th 
Huuntu' Gdrtnar. 201 


Visión 


Objetivos 


Arquiteaura 


Principios 
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Evalluación proactiva de 
exposlclón 

Predecir ataques 

Líneas base para 
Id 5 sistemas 


Remediar/Hacer cambios 

Diseiiar/Modelar el cambio 
Investigar/Forense 


Arqultectura de Segurldad Adaptatlva 


Prevenir 


Inî. 



Endurecer y aislar sistemas 


Desviar a los atacantes 
Prevenir incidentes 


Detectar incidentes 
Confirmar y priorizar 
Contener incidentes 


Deteclar 


‘Desigtìïng an AdaptÌM SEairilyArchiteztu r e fàr 
Proiecîiarì frofïì Ad'fímee'á Attachs" Gatne*, ZOIÊ 
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Function 

Category 

Identify 

■ Asset Management 

• Business Environment 

• Governance 

• Risk Assessment 

• Risk Management Strategy 

Protect 

• Access Control 

• Av;areness & Training 

• Data Security 

• Information Protection Processes & 
Procedures 

• Maintenance 

• Protective Technology 

Detect 

■ Anomalies &Event 

• Security Contmuous Monitorir.g 

■ Deteaion Processes 

Respond 

■ Response Plannmg 

• Commumcations 

• Analysis 

• Mitigation 

■ Improvements 

Recover 

• Recovery Planning 

• Improvements 

• Commumcations 


NIST Cybersecurity Framework 



'Frame>York for Impfosing Criticol 
Irtfrastructure Cj'bersecurity r NIST 2014 
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Proceso de la PEdC 
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Estado Actual 


1. Pruebas de penetración, valoración de riesgo y seguridad 

2. Análisis histórico de la organización 

3. Valores y Cultura 

4. Análisis FODA 
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Analizando valores centrales 


Valores Centrales 

*Cómo impacta este 

^Cómo puede seguridad 


valor central mi equipo 

mostrar este valor 


de seguridad? 

central? 
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Análisis FODA 


0 0 Priorizar para obtener resultados 
exitosos 

0 0 Desarrollar un plan a corto y largo plazo 

0 0 Ganar y mantener una ventaja 
competitiva 




Externo Interno 
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Ayudan 


Fortalezas 


Oportuniidades 



Análisis FODA 


Perjudican 


Debilldades 


Amenazas 













































Extemd tntemal 
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Recordando el Análisis FODA 


Heiptul 


Harmful 


Strengths 

• Bccinen nrioion to hep peope «oa heatníer ivet 

• CuhureofinnovotionanOR&O 

• AOiHv io create tyeattrvougri new ^ugi 

• Decer.'roceo Ouerea jtjh o>ow goct nnovatior. 

• Strong geographic preience 

• Acce«toro*errarounarhe wono 


Weaknesses 

• Mo CSO or centrol lecurtty respor.ibity 

• îecvmty «oece'tnaoedondunOentaneo 

• ‘ 4 o cer.lral rhreot iVolegy 

• T ecnnoiogy « uroer jtwreO 


Opportunities 

• HheoCISO 

• Operotioroize perjonrei to imorove tecjrtty 
efteciivenea (combtning phybcai L info *ec] 

• Levetoge gooo prese'.ce to omo 24*7 reorr» 

• mcreoie fatfirig 


îhreats 

• maOer threot- geogrophtcory Oisperieo wonctoce 
ar.o noc or ooto c*i 

• Comoetiton-ieetong rf-fe*ectuoi property 

• ^ator. jtoie-tee«cng fo occe»erote RiD 

• >eguotonr*-creoieO reguta»on retuli in Oeioyi 
getnrg new dmgi to mortet 
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Estado Actual y Futuro 


Category 

Future Stale 

Curient Sïtuation 

Action/Proposals 

Identify 

Centraiized security governance to 
provide comprehensive risk 
management 

Securityi5 decentrahzedacross 
busine5s umts 


P rotect 

Protect key system and processes 
used for drug, researth, development r 
and trails 

Security prctections are nct 
consistendy appiied 


Detect 

Ability to qulckly detect threats 
‘argetmg intellecîual uroperty 

habilí ty to deîecî malicicus or 
negíigent activity 


Respond 

Ability to mimmije data loss, blcck 
attack5, and determine root cause 

Inabil ty to mit-gate attacks and 
limit the amount of data lcst 


Recover 


Capabiiityto quicMy return to normel 
operat ons and ilmit business impact 
of security incidents 


Recoveryand tusiness contmuity 
5 decenîralized 
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Análisis de brecha 


Caiegory 

Futore State 

Current Situacion 

Action/Proposals 

Identify 

Ce nt ra 1 ize d security gov e rna nce to 
pro^ide comprehensive risk managernent 

Security is decentralized across 
business units 

Name a permanent CISÛ 

Deve lo p ce ntra 1 po licy li bra ry 
Implement vulnerability 

IVIanagement program 

Protect 

ProtÉCt key syscein and processes used 
for drug, research, development, anti 
trails 

Security protections are not 
consistently applied 

Decrease patch deploymenttime 
Protect dinical trial systems 

Deplcy syscems in blodting mode 

Detect 

Ability to quicsly detect thi eats targeting 
intellectual property 

Inabrlity to detect malic ous or 
negligent adivity 

Deploy contiriuous monitoring& log 
manage me nt ca pa b il it y 

Advanced analytics and reporting 
Implement ÛLF to monitor IP loss 

Respond 

Ability to mimmiie cata loss, slock 
attack5, and determine root cause 

Inability to mitigate attacks and limit 
the amount of data lost 

Builtl ancl staff 24x7 SOC 

Develop advanced forensics team 
Create threat intelligence sharing 
capability 

Recover 

Capaûiliiy to quiCîdy return to normal 
operations and Hmit busmess impactof 
securìty incidents 

Recovery and busmesscontinuityis 
decentralized 

Develop business contmuity plan 

Ensure that response plan is regularly 
tested 


Sociaiize and coíTimynicate yvith BU 
I ead e rs 
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Proceso de la PEdC 
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Creando la hoja de ruta 


Un proceso de 3 etapas: 



dentificar lo que se está hacíendo hoy 


200 Correlacionar las capacidades actuales con los 
niveles de madurez 


300 Priorizar nuevas iniciativas para aumentar la 
madurez 
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1. ID Capacidades Actuales 


Documentar las activìdades actuales 

• Hay que darle crédito a lo que se ha hecho hoy día 

Ejemplos de la función "Proteger" del NIST CSF 

• VPN, firewall, segmentación de la red 

• Cifrado de endpoint, antìvirus, antimalware 

• Web single sign-on (SSO) 

• Concientización de los empleados 

• Estándares de seguridad 
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2. Mapear nivel madurez 


Futvclion 

Category 

Level 1 

Leuet 2 

bevel 3 

Level d 

Le'.'êi 5 


Aocesi Control 

i/PW 
fi re s’.'dl 1, 
segrr,entat on 

Web 55Q 

Federated S5Û 




A'/:3 re nesï Sl Trai nimg Ee ïic 

IWVW1IH 

tídinimg 

Phishing 

eiiefcises 


Data Seojrity 

Encryptiori 
data at rest 

and in-transit 

Data segregatian 
Asiet 

destr jction 




Protect 


Processes fi PrúcedurES Security 

standards 
change control 

Integrat on with Securitv 

HR processes Development 

Incidervt Process 

respoose plan 


Prctecti ve T echr ol agy 

ríeovorlí ar d 
host Hcurlty 

'vVel: application 
security program 

Mobile 

application 

Hcurlty 
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3. Priorizar iniciativas 


Determinar que iniciativas deben priorizarse para cruzar la 
brecha 


■ El costo no debe ser el único factor 

■ Incorporar el valor para el negocio y la defensa de 
amenazas 

■ Tomar en cuenta la habilídad para ejecutar y el 
soparte organizacional 
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Initîative 

Cost 

Moblie & BYOD 

3 

DLP 

2 

Centralized 

2 

Vulnerability 


Management 


Risk-Based 

3 

Authentïcation 



Network Access 

1 

Cortrol 



Abilìty to 
Execute 


2 


Matriz análisis de decisiones 


5takeholdcr 


5 

4 

3 

4 


Support 

4 

5 
5 

3 


4 


Threat 

Defense 

17 

14 

14 


Total 


13 

9 


2 
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Function 

CaleEory 

Level 1 

Level Z 


Access CDntral 

VPN 

Firewall, 

segmentation 

Web 5SO 


Aws reness S; TTa ni ng 

Basic awareness 
trainin^ 

Phish ng enencises 

Protect 

Date Lecu’ity 

Encrvptian data 
at r= =t and in- 

tra nsrt 

Data ïEgre|atiDn 
Asset destructiDn 


PrDcesses- S. Procedures 

5ecuhty 

stand ards ch. 3 n|g 
cctrcl 

integrgtian with HR 

crccEEjes 
incident nesponse 
plan 


PrDteítive Tiehn*lû|y 

Neîrt'orl; and 
hast sacurity 

Web appl cation 
securitv pra.|rani 


FszEríted S5'j P iic-based 

Autt’anticatio'i 


Role-based 

Executi'i^E 

training 

education 

DLP |erna 1 S. 

DLP lcloud daîa 

hajtji 

sturaie) 

Securrty 

Centralíced 

De'/elopment 

vjlnerability 

Process 

mana|ement 

MObilè 

B'vqd security 

app ication 
security 



Net'.vc 'k 

ACC EJS 

CDntrol 


Th rd-parfy 

training 

program 


Self 

pratecting 

data 


CDntinuous 

feed back tvith 

business 

pmcesses 

| Dîsne today 

Cloud security 
program 

| S'oriea Do>g 
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Algunas trampas 


0 "Si no lo hacemos nos van a hackear ;/ (FUD) 
0 "Es la manera correcta de hacerlo" 

0 "Esta tecnología resolverá todos nuestros 
problemas" 

0 "No cuesta tanto" 

0 "La dirección no lo entiende" 




+ISACA 

t&tí<a%-a pn k «0||p tie tos s «temís j? Jfftrntffittr 

Monterrey Cliapter 


Caso de Negocio 


@ Captura la razón para inìcìar el esfuerzo 
0 Estima de manera clara los costos y beneficios 


0 Da un análisis y descripción detallada de la iniciativa 




+1SACA 

CmfltM m r & fc t&tam & mtoimxin 

Monterrey Chapter 


Enfoques casos de negocio 




^JSACA 

Commn 01 r »Hnr Oe *» « mwww or mtormaaán 

Monterrey Chapter 


Enfoque innovación 


Planear las inversiones de seguridad basadas en: 

- Oportunidades de negocio 

- Requerimientos de negocio 

- Riesgo de negocio 





^ÌSACA 

Cúltíid'L'á flfl f iiï.< *• Sli iiiNHÌÌti. 3í .Vlto-'1lâi-tì>l 

M ûnterrey Chapter 


Resumen ejecutivo 

— Problema 

— Valoracíón 

— Recomendaciones 

Introducción 

— Factores que impulsan 
negocìo 

— Àlcances 

* 


Financiamiento 


Elementos caso de negocio 


Análisis 

- Suposiciones 

- Costo/beneficio 

- Riesgos clave 

- Dependencîas y sînergias 

- Opciones 

Apéndice 





































+ISACA 

CoMmat an y vàbt as los sistóhtus ae xAùfmÈeán 

Monterrey Chapter 


Importancia de las métrica: 


Problema 

Muchos ejecutivos están buscando estadísticas de seguridad 
que sean ìmportantes, de tal manera que sepan cuando y a 
qué poner atención 
Solución 

Proveer métricas esenciales que transformen y comuniquen 
información complicada en lenguaje de negocio que sea 
fácilmente entendible 



+1SACA 

Contlania pn y hstor ûe lo s snî&vss -íe intomvMn 

Monterrey Chapler 


Importancia de las métricas 


HtZllnforma 


r 


ZJmEducar 


Gj Impulsar cambios de comportamiento 








^SACA 

Cantttnn m i ae ka uatanrm ae ntomaaûn 

Monlerrey Chapter 


Jerarquía de reporteo 



Conse>o 


Desempeno de 
Riesgo y 
Negocio 


CIO/CFO/CDO/ 
RISMT Board 


Desempeno de 
Ciberseguridad 


CSO r 


Desempeno 

Operacional 


Tl, 

Operaciones, 

Aplicaciones 


\ SecOps 




LPU 


Sistemas y Procesos 


Numeros 
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Ctxshava p*i r wftî«' ât/fc msfemts w AtformacA^n 

Monlerrsy Chapter 


El abismo de las métricas 


CISO tradicional 


CIO 


ìEl Negocío 


Riesgo 

Tecnológlco 


Sistemas 

Tecnológicos 


Procesos 
de Negocio 


Objetivo de 
Negocio 



Credencîales 

comprometidas 



Pérdida de 
momentum del 
mercado 



l Baja en 



~ Ingresos 

Á 


Las mêtricas técnicas 
llegan hasta aquí 

--► 


■4 


Nadie cruza esta brecha 


► 


Las lineas de negocio 
ven liasta aquí 


C2ft17 íinrlnrr, Inr 









-tfSACA 

ù»'.f.dvì an k Kkkh' *• lcs sistenas 3? .«tornta£.ehi 

Manterrcy Chapter 


Retos en métricas de seguridad 


Foco en métricas técnicas 

Uso de listas genéricas de métricas 

La brecha entre lo que seguridad hace y los 

beneficios para el negocio 

El contexto técnico en el que son desarrolladas no 

invitan al cambio 




u>tíi. 1 'LM pn jf italar flfc tos i<ste<7a$ w Aflffl’niflcrtln 

Monlerrey Cíiapter 


Dar contexto a las métrlcas 


■ 


Número de servìdores escaneados/Sin escanear 
Número de parches críticos e ímportantes 


Convertira porcentaje permíte la 
normalíraciór v treataiìdancías. 


Porcentaje de parches crfticos e importantes faltantes 
Porcentaje de fallas en escaneo de servidores 


Aiiadìr contexto de negQcio |ïrovee 
enlace con el ne£ocía 


Porcentaje de servidores críticos para el negocio y 
bases de datos mantenidas con cumplimientD de parches al 100% 


Cnfocarseen un sistemade itegocio ìrtCrementa 
la relevancia paia las partes interesadas 


Porcentaje de parches crítîcos faltantes en facturación 
Porcentaje de încremento de escaneos fallìdos en facturadón 


Crear un eulace entreel mdicador de rieígo 
y el proceso de negocio 


Porcentaje de facturación tardía debido a caídas no programadas 


Se completa el enlace con el ìmpacto al negocío 


®20i7 Oínmer, im 


Facturación tardía causada por caídas no programadas 
que ponen la operacíón del negocíoen ríesgo 













Balanced Scorecard 


-HSAC/t 

CartfMti «ì y vtfn oè tó íiiftìr*B j? yAi'niàítìn 

Manterrey Chapter 



Financiero 



Clíente 

Ûbjetivûs 

Métricas 

Metas 

Iniciativas 













Objei 'j’jj Métrlcas Méîes Iniciativas 




Procesos Internos 


Objetivos Métricas Metas Iniciativas 


Aprendizaje y Crecimiento 

ÛbjetivQS Metricas Metas Iniciativas 
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DmfMm flfi f vgX* ûc tìs ssfefías j? MomiflcUr 

Mtmterrey Chapter 


Balanced Scorecard 


Enterprise XYZ — Balanced Scorecard for Information Security 


Ba la nce d Sc □ re ta rd (Secu rity ) — 5u m m ary 


Financial 


93 % 


Custcimer 


90% 


F1 We will u;e security to help grow the busiresi. 

F2 We wil I be efficient in our secu ritv m anagern Er t. 

F3 W'e wiH executE projects cn time and on budget. 
F4 We will msnage cur suppliers cost-effEctîvely. 


A 

G 

G 

0 


Cl We will provide a h«gh level of service availability and G 

continuity. 

C2 C ustomers wil I have confi den ce i n ou r se rvices an d G 

facilities. 

C3 We vvi II cu m ply with a II applicable reg ul ations. A 

^ The right people will have access to the right information — 
no mûre, no less. 


□ peraticmal 


9D% 


Learning and Grovrth 


95% 


□1 0 ur toois wil I be fit f□ r p urpose. 

02 We will executE change efficiently and reliably. 

03 We wil I embed contir uous im p rove m ent in our 
prncesses. 

r\d. . . _ 

We wiH mainta'in cur cperationa risk tc wit 'in a defined 
ri.sk appetits 


A 

G 

A 


G1 Ou r p eople wi II be ful ly engage d. 

G2 Our people Will make the rifht dedsiors. 

G3 We WMI invest in our pEople and develop their expertise. 

G4 VVe will protect our kriow-liow as a competitive 
advantage 


G 

G 

A 
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Cafl&ïfíì.i fí<t. y tí'dfHe Ks Mz'éiïm <Se MnrtacMn 

MonUrrey Chapler 
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